Ścieżka dla doświadczonych. Arena nie zaprasza do testowania cudzych systemów — daje wyprofilowane wyzwania na naszej własnej warstwie evidence ipIII: czy da się podmienić pakiet dowodowy bez wykrycia, czy role widzą swoje incydenty, czy parsery importu wytrzymują złośliwe wejście, czy audit log jest odporny na modyfikację. Wszystko na środowisku syntetycznym, wyłącznie defensywnie, po podpisaniu Rules of Engagement.
Senior Arena to Fala 6 release-train ipIII. Dziś dostępny jest opis wyzwań i kryteriów sukcesu (MVP); uruchamialne, samoresetujące laby na środowisku syntetycznym są ROADMAP. Każde wyzwanie testuje jedną własność warstwy evidence i ma jasny dowód sukcesu — obserwowalny sygnał, że mechanizm zadziałał albo że znaleziono lukę do zgłoszenia.
Każda karta opisuje co jest testowane i jaki jest dowód sukcesu — bez instrukcji ataku. Chodzi o sprawdzenie, czy zabezpieczenie warstwy evidence wykrywa lub blokuje próbę naruszenia.
Co testuje: czy da się zmodyfikować pakiet dowodowy (evidence-package / board-pack) tak, by zmiana
nie została wykryta przez sha256 integralności i łańcuch chain-of-custody.
Dowód sukcesu: pokazanie stanu, w którym treść pakietu różni się od zapisanego hasha lub łańcucha, a system tego nie sygnalizuje. Sukces obrony = każda podmiana daje niespójność hash/chain i jest oznaczona.
Status: mechanizm hash + chain-of-custody LIVE (weryfikacja: /verify); interaktywny lab ROADMAP.
Co testuje: izolację danych między rolami — czy użytkownik jednej roli/kontekstu może odczytać cudze incydenty lub pakiety dowodowe przez odwołanie do nie-swojego identyfikatora (klasa IDOR).
Dowód sukcesu: udokumentowany przypadek dostępu do rekordu spoza własnego zakresu roli. Sukces obrony = każde takie odwołanie kończy się odmową autoryzacji i wpisem w audit logu.
Status: JWT + RBAC + audit LIVE; wielodostępność i pełna izolacja per-tenant → patrz known-limitations (P1). Lab ROADMAP.
Co testuje: odporność parserów importu (Burp / ZAP / Nessus / CSV) na złośliwie ukształtowane lub zniekształcone wejście — czy nietypowy plik prowadzi do błędu bezpiecznego, czy do niepożądanego zachowania.
Dowód sukcesu: wejście, które wyprowadza parser poza kontrolowaną obsługę błędu. Sukces obrony = złośliwe/uszkodzone wejście jest odrzucane z czytelnym błędem, bez wpływu na resztę danych.
Status: parsery importu LIVE (/connectors); fuzz-lab z korpusem wejść ROADMAP.
Co testuje: czy dziennik audytu jest append-only i czy wykrywa próbę modyfikacji lub usunięcia wcześniejszego wpisu — fundament wiarygodności całej warstwy evidence.
Dowód sukcesu: stan, w którym historyczny wpis został zmieniony bez wykrycia. Sukces obrony = każda ingerencja w log jest niemożliwa lub natychmiast wykrywalna jako niespójność.
Status: audit log LIVE; formalny łańcuch niezmienności (podpis/kotwiczenie) → patrz Trust Center. Lab ROADMAP.
Wejście na arenę oznacza akceptację poniższego zakresu. Wyjście poza „co WOLNO" jest naruszeniem RoE.
| Aspekt | Co WOLNO | Czego NIE WOLNO |
|---|---|---|
| Cel testu | Wyłącznie własne, syntetyczne środowisko ipIII udostępnione na potrzeby areny. | Jakiekolwiek cele zewnętrzne, produkcja, dane realnych klientów, infrastruktura osób trzecich. |
| Charakter | Testowanie odporności warstwy evidence defensywnie — obserwacja, czy zabezpieczenie wykrywa/blokuje próbę. | Payloady nakierowane na wyrządzenie szkody, eksploatacja poza zakresem, hack-back, techniki niszczące. |
| Dane | Dane syntetyczne wygenerowane dla areny; zgłaszanie znalezionych luk kanałem RoE. | Eksfiltracja danych, wynoszenie dowodów poza środowisko, publikacja szczegółów podatności/payloadów. |
| Dostępność | Praca w oknie czasowym i limitach ustalonych w RoE; poszanowanie zasobów środowiska. | Wolumetria/DoS, wyczerpywanie zasobów, działania degradujące dostępność środowiska lub sąsiadów. |
| Formalności | Udział po podpisaniu Rules of Engagement i NDA; kontakt do koordynatora. | Udział bez RoE/NDA; obchodzenie zakresu; działanie „na dziko" bez uzgodnienia. |
Uznanie dla seniorów-recenzentów, którzy pomogli utwardzić warstwę evidence. Na start bez nagród finansowych.
Imienne (lub pod pseudonimem) podziękowanie za zgłoszenie luki, która przeszła weryfikację i doprowadziła do utwardzenia mechanizmu.
ROADMAP — rejestr uruchamiany razem z interaktywnymi labami.
Odnotowanie wkładu w dzienniku zmian ipIII (/aktualizacje) przy poprawce wynikającej ze zgłoszenia.
ROADMAP — po uzgodnieniu zasad atrybucji w RoE.
Arena startuje jako program uznaniowy, nie bug-bounty. Ewentualny model wynagrodzeń to osobna, późniejsza decyzja.
ROADMAP — nie deklarujemy nagród, których dziś nie ma.
Powiązane: weryfikacja integralności pakietów → /verify · granice dojrzałości MVP → /known-limitations · dowody i zaufanie → /trust-center · parsery importu → /connectors.